2021-12-24 09:01
都是免费的东西用习惯了。每天给一个人五毛钱,突然不给了,他就感觉是你欠他的。
2021-12-24 08:27
我觉得吧既然是自由开源的,那开发者也有不进行修补的自由。有能力的用户可以选择修补和功能增强,也可以把修补增强返给社区。没有必须要如何如何的意思。当然了,收了服务费该提供技术支持那没的说。
2021-12-24 00:21
这要是没人维护了,是不是就皆大欢喜了?
那些出口成脏的,都应该被自动过滤掉。
2021-12-24 00:11
搞一个自动化的开源资助体系。比如一个企业项目直接、间接用到100个组件,企业可以一键资助,每个组件根据远近关系、实际使用到的代码量、bug率、漏洞率综合打分,分到一份资助。
2021-12-23 14:36
建议开源的都修改协议,禁止商用,商用收费。增加IT公司的门槛,不然随便来个老板都开个XXX科技公司,搞外包
2021-12-23 14:37
参考腾讯的游戏引擎协议 营收2000万内的免费 超过的交钱
2021-12-23 13:51
强烈支持付费
2021-12-23 11:53
建议作者转go
2021-12-23 09:14
一面拼命构筑封闭文化圈一面又爪子伸老长从开源世界摘桃子。
2021-12-22 16:27
哎,这么多评论。就没一个想到,核心的解决方案是将开源的骑士精神升级成公司级别。问题很简单就是:大家都想白P。完全免费已近是不可能了,那么,低成本白P,就是必然选择了。只要抛弃传统公司的架构,采用新的公司的架构不就行了。
2021-12-22 10:08
原来国外的码农也骂人阿,哈哈哈哈哈哈哈啊哈哈
2021-12-23 10:39
我也没想到,他们不是文明人吗?就是不知道他们会不会说wocao
2021-12-22 09:42
我支持收费,不过能少收点么
2021-12-22 09:02
这根本不是有没有报酬的事情,开源协议上写得清清楚楚。那些骂作者的人脑回路是不是有点问题。
1.人家又没要强迫你使用,你自己知道是开源apache协议就应该知道后果,人家好的时候你没有出过一毛钱,哪怕是点个赞都没有,现在出点bug你来这里兴师问罪,这不是吃饭还骂厨子吗?
2.那些使用shiro、solr的用户,别人已经告之了里面有开源插件,solr并没有隐瞒有哪些开源组件吧,这点在使用的时候你使用公司的技术是知情的吧,如果因为这样而怪人家开源作者简直是莫名其妙,怕有问题全都用商业组件呀,既用还喷何居心?
3.收费不收费是人家开源作者的权利,因为并不是所有的人的志向就是为了钱。既然开源目的应该不是商业性的,否则你干脆商业化,利润更大,所以我觉得还是要尊重开源作者自己的选择,而且我觉得要杜绝这种吃饱饭骂厨子的行为并不是收费能解决的,还需要加强这方面的法律约束,从法律层面上对这种开源软件使用条款责任权利的规范。既保护开源作者的权益又让使用开源产品的人明确使用风险!在双方面都知情的层面上才能有效的避免冲突和争端!
2021-12-22 06:07
解决这个问题很简单 就是开源版本 不会及时更新 爱用不用 心情好就更新一下 收费版本更新很快 就能解决这个问题了,或者有贡献的第三方可以免费使用,白嫖就GD
2021-12-22 00:32
好奇github上那些.net赞助的c#项目,会给多少钱呢?
2021-12-21 15:57
收费就不会有人用了
2021-12-21 14:52
其实很尴尬 因为不是非你必选 如果收费 就会造成 使用占比 持续下降 很多组件 已经验证这一点了
2021-12-21 13:42
开源的确苦,但是你也不能上来就来个惊天bug呀
2021-12-21 13:10
给钱有给钱的问题,收了钱,可能导致其他层面的问题,毕竟不是有钱就没有bug了。权责还是不够明晰。
2021-12-21 09:47
我写了不少技术文,也写了一些组件并开源了出来,每天有几十个人来问问题,有时候没看到或者没空回答还要吐槽装 架子大
2021-12-21 08:37
为什么那么多人会想到收费?
这类紧急安全事故,所有公司都期望最短时间内解决,比如,给你5天,你能与多少公司完成整个商业流程(讨价还价、签订合同、软件开发 bug fix、协助对方升级1-n个 java-web 系统、测试及验证、收款)?
都想的太简单了。
2021-12-21 09:53
如果开源作者有收益他们肯定更愿意全职做开源项目,log4j的作者是在业余时间维护项目的,出现问题也都没法全身心投入去修复。修复进度自然就慢。
2021-12-21 10:50
你说的很对,但针对这个 bug fix 事件,不适用。很小的费用,很难去走公司间采购流程的(双方盖章的那种),一般是做成大合同的搭头。
公司与个人签订采购合同,在很多公司是流程上禁止的。Mozilla 最后注册成公司,就是因为这个缘故:公司一般只和公司做生意,卖家要开那个发piao之类的事情。 个人作为卖家,无法对买家公司开比如增值税发piao,买家无法用来抵税,对于买家来说,有些影响。
2021-12-21 14:00
log4j 的源代码参与者,应该不是一个。
目前修复的速度不算慢。做事情,要花时间去考虑方向性是否正确。软件的设计、设计评审、编写、测试验证,也需要花时间。
总不能一个用户这样说,你就这样改,另一个用户那样说,你就那样改...最后写出来一团垃圾,谁也不了愿意用。
如果真的着急,log4j 的源代码是可下载的,你也可以下载源代码,把有问题的几行代码,注释起来,然后重新打包成 .jar 文件,也可以凑合用几天。大多数人代码,都运行不到 log4j 的 jndi 调用代码附近。
我之前用某个 java report 引擎的时候,中文字符乱码,就用这种自己改源代码的办法。
2021-12-22 08:46
理论上是这样自己改下重新封包用,但是公司领导不会同意的,公司领导会说以后升级怎么办?然而实际上压根不会升级,可能这个组件都没人维护了,用的还是古董版本,这就是实际。(╯‵□′)╯︵┻━┻
2021-12-22 10:42
领导如果懂行,会让你改的。如果不懂行还要管,那没办法。
古董版本也没什么,我在 java-web 中使用 velocity , asp.net 中使用 nvelocity ,很长时间都是古董版本,如果没发现什么让人眼前一亮的对等新技术,那就继续用呗。
2021-12-21 11:56
是平常就应该给钱。要么白用出问题自己担,要么给钱出问题可以骂人。不能白p还骂人
2021-12-21 13:52
就算平常用,整个 log4j 也卖不了多少钱的,你以为每个软件项目的金额、利润都很高么?
再说了,用的人多、可能上百万,骂的人少、也就不到100个。这个怎么处理?不骂人的可以免费用、骂人的赶紧交钱?很难处理的。
2021-12-19 23:12
我没整明白,Apache基金会这个“金”字的意思? 不就是保证作者有金钱收入吗?
2021-12-20 09:25
apache的金主要都放在新项目的孵化上了。很少给旧项目维护。之前用mqtt时发现有个apache apollo。后来发现停止维护了。
2021-12-20 09:43
跟国内互联网APP一个劲增加新功能有点像吧。 已有的功能都没整明白,就知道开发新功能
2021-12-20 09:57
对呗,国内基本都这个德行,动不动就整新的,今天出个这个明天出个哪个。旧的能维护就维护,实在维护不动了就停更。
2021-12-22 16:16
利益导向,搞新的好捞名利,老的搞不到。
2021-12-16 12:08
开源软件只有两种, 一种被骂的, 一种没人用的
2021-12-15 22:33
像apache 这种级别的大佬 做开源都是无偿没有收入的,那其他的小项目的作者又怎么活,开发者吃啥喝啥,我也很好奇。
2021-12-19 23:10
尤雨溪完全靠众筹
2021-12-15 21:42
log4j(以及 log4j2) 目前功能上没有不可替代性,收费的话基本上用户就换别的日志框架了。
2021-12-16 09:47
其它的也可以收费
2021-12-21 11:57
其他也可以被骂。重点不是收不收费,而是不给钱还骂人,凭啥啊
2021-12-15 21:32
支持商业收费,特别是大公司!!!!
2021-12-21 08:39
没法收费,这种钱太少,不值得去完成整个商业流程(讨价还价、签订合同、软件开发 bug fix、协助对方升级1-n个 java-web 系统、测试及验证、收款)。
2021-12-15 17:02
开源项目还是得公司来发起或者有基金会支撑着,完全靠个人情怀撑起来的项目,别人不但不感激你,用得不爽还要骂你,除非你想通过这个项目获得进入大公司的橄榄枝。
2021-12-22 16:22
呵呵,公司是逐利的,没什么理由开源并且一直维护更新。基金会看看apache,资金全搞新项目去了,老的维护也不鸟你。
2021-12-15 17:01
幸好开源只是在软件行业,要是所有行业都流行这么一套鬼东西,遍地都是好吃懒做的人,还要骂你为什么做的不好。
2021-12-22 16:23
任何行业还真有这么一套鬼东西。拿着俸禄骂你不努力。
2021-12-15 16:11
所以。以前微软说开源是毒瘤。还是挺有道理的
2021-12-23 14:26
我赞成,微软和苹果的做法,还真就是独立王国,程序员还活的好。
2021-12-23 17:30
尤其是苹果。
2021-12-15 15:31
我觉得更该让公司出人维护安全方面的问题。
2021-12-15 13:51
火了之后就自己制作漏洞,自己赚一波先。
2021-12-15 13:26
这玩意干嘛的记录日志的?不能自己写个吗
2021-12-15 17:04
你真厉害 你啥都自己写吧
2021-12-15 17:30
这个东西是这个样子的,Java语言直到1.4才加入了最最基础的Log功能,在那之前,普遍使用System.out和System.err,这俩只能到控制台,要到文件的话,需要自己考虑文件IO,搞不好就会严重拖慢系统,还要考虑GC,要输出一个bean就要持有这个bean,而这个bean被持有,GC就不会处理它,处理不好,很容易堆溢出,还要考虑并发和线程安全等等,在那之前有不少自己写的,只不过只有Log4j选择了开源。
2021-12-15 18:20
赞,回答很棒
2021-12-16 09:25
记录日志也不是你想的这么简单,不然也不会出现这么多日志框架
2021-12-21 08:47
国内程序员新手多、很多其他行业转过来的,水平比国外相差几个数量级。
oschina, cnblogs 等网站博客,贴出来的代码,很多惨不忍睹,try catch 了 exception, 写行日志"出错了哦", 没事人儿似的继续向前走,我都笑死了。
你觉得有国内多少人能有水平写出 log4j 同等质量的软件?这个质量的软件,国外能写的也不多。另外,人工费要不要考虑下?
2021-12-15 13:06
所以,那些因为进阶文档收费或者文档完全收费而喷作者和团队的人呢?
2021-12-15 12:54
收费也不好收啊,谁知道被别人用了
2021-12-15 11:11
还好,一直用logback,暂时虚惊一场
2021-12-15 10:49
开源代码使用者要自己付起对代码信任的责任来。
2021-12-15 10:41
并且,在该“漏洞”被爆出来之前是否有早就知道有该“功能”的人,借助该日志框架的广泛使用度,已经“偷”了很多想要的数据呢?是否该日志代码里还有其他类似执行jndi的“漏洞”呢。话说,有几个公司的技术人员会把开源的项目代码全部看一遍呢。请勿喷,我只是有些疑惑罢了。
2021-12-15 11:08
你以为就算看了,就能发现漏洞?
2021-12-15 13:43
看懂一个高质量的开源项目,比自己从头写一个漏洞百出的难多了。
你说你看懂如何衡量,谁能证明,该不是摸鱼的借口吧?
瞧瞧隔壁,紧跟需求高效率地完成了工作,有bug,谁的项目没有bug,Linus还是Stallman?
2021-12-21 09:57
漏洞确实很早之前就已经有人发现了,我在github上翻到过一个今年三月份的项目,就是一个用于利用jndi漏洞的工具,可能还有更早的。
2021-12-15 10:31
从修复手法看,默认关闭了jndi执行功能,并且出于“向下兼容需要,并没有关闭jndi解释执行功能“。一个日志框架,为什么要刻意解释执行jndi?有什么样的应用场景?这种特意实现的功能,文档里是否有明确说明?漏洞一般是开发者为了实现某个功能但由于疏忽或则局限当时的技术导致的程序缺陷。这种特意编码实现的功能不叫漏洞吧。
2021-12-15 11:18
翻了翻官方的jira,是上古时代Log4j2还是beta的时候一个人提的pr,jira号LOG4J2-313,创建时间13年6月17日,最后更新9小时前,这个人需要记一条日志把相关日志全拉下来("put all the logs from the same web application context in a log file","use JNDI resources look up to determine the target route"),然后就把代码提上去了,第二天Ralph Goers就接受了。。。然后两天前,这条jira被翻出来了,有人回复了一个nice work。。。
2021-12-15 17:38
我就想执行一个.so或.dll怎么了?哈哈哈哈
2021-12-21 14:36
有相关链接吗
2021-12-21 08:50
软件追求功能大而全,是一种病。我没说你们:某q,某信,某宝,某猫,某东...
2021-12-15 10:26
经常被骂习惯了。
2021-12-15 10:21
软件开发的成本太低了,而这些基础建设大都由开源项目支撑.
2021-12-15 10:13
国内对开源的回馈真心不够。
2021-12-23 14:56
你回馈了么?没有。没有就别BB
2021-12-15 10:10
都不要开源了,开源了反而内卷
2021-12-15 13:47
开源来自两种:一种是理想主义者,一种是生态圈地者。
2021-12-23 14:27
同意,开源使得开发者廉价和内卷
2021-12-15 10:05
支持啊,大厂使用必须付钱,就算少点也总比没有好,聚沙成塔,激励开源作者
2021-12-15 10:04
对个人开源,对商业收费。问题解决
2021-12-15 09:57
向企业收费很合理啊
2021-12-15 09:53
开源不代表免费吧
2021-12-15 09:46
我老早就提议 @红薯 搞收费 issues 了,也不知道为啥不能搞。
2021-12-15 13:39
这个我知道,也就是最近才开始搞。
但是限制条件多,门槛台阶高了,还不是我说完全体。
推广和使用有点慢。
2021-12-15 13:56
你可以提交改进建议,让他们减少限制条件降低门槛。
2021-12-16 10:00
至于为什么不能搞,可能我想的简单了,也可能我想得复杂了。
2021-12-15 11:23
这个需求好
2021-12-15 13:36
大概15、16年就建议过,老人应该有看到过评论区留言。
但是每次这种建议都会引来一帮开源区的卫(伪)道士大声反对,
理由是破坏了开源的纯洁性。
也许在他们看来,开源都该不吃不喝的神仙去搞。
然后其白票人家的劳动成果,还是对人家的赞赏与恩赐。
2021-12-30 12:38
你以为自己...
2021-12-15 09:41
“想象一下,一家市值万亿美元的公司将各种开源组件应用到自己的产品中,每年赚取数十亿美元的利润。当这家公司的一个用户向它提供的产品寻求帮助时,公司却把用户推给开源项目。这个开源项目是由志愿者运营和维护的,这家公司从未赞助过一分钱。”
-----------
Apple默默退出了聊天室
2021-12-16 08:49
Curl骂骂咧咧的说道。
2021-12-15 09:39
设计有问题,一个打印日志,就不要做那些花里胡哨的功能,一个打印日志的竟然可以自己执行函数,这不是没事找事呢么?
2021-12-15 13:48
so,a需要,b不需要,谁决定什么该做什么不该做?
2021-12-15 17:03
事后诸葛亮。。。
2021-12-23 14:57
知道啥叫内卷么?你不卷别人为什么要用你的
2021-12-24 17:48
为什么非要别人用呢,免费的玩意爱用不用。不用对开原作者有什么损失么?
2021-12-27 15:37
看不惯,可以不用.
我就是从 log4j 1.2 开始转成使用 slf4j + logback 的.当然,起因是甲方客户制定使用 ibm websphere, 而 websphere 中使用了很旧版 log4j ,我的 web-app 中使用了 1.2, 然后配置 class loader 为 parent last 时问题多多,搞不定,只能把我自己的 web-app 中的log4j 1.2 , 换成用 slf4j + logback. 之后形成习惯,就一直用 slf4j + logback.
2021-12-15 09:25
开源也会内卷的 骂人 埋怨确实不对 你收费 就会转向那个不收费的 相当于给了不收费的发展机会
2021-12-15 09:22
log4j -》logback-》log4j2 有时间折腾...
2021-12-15 09:19
支持
2021-12-15 08:58
每天给你挑错别字 Loh4j2
2021-12-15 09:02
好兄弟火眼金睛!已修改
2021-12-15 09:05
改了吗,还有啊
2021-12-15 09:14
并没有改完。还有。
2021-12-15 09:15
刷新就好啦~
2021-12-15 08:53
好事,不能一直被割韭菜。支持部分功能收费。这样才会良性发展。
2021-12-15 13:50
收费了,那么负责不负责呢?付钱的认为我给钱了,你就应该负责实现兼售后。可是开源本就是作者免责,用者自担风险的。怎么协调这个矛盾?
2021-12-15 20:38
做开源软件的公司不是很多吗?有的是分开源版和企业版,有的是商业许可加技术支持,文中的建议其实就是后者,只对付费用户负责就可以了,只是个人作者会比较纠结是不是选择全职,目前最好的模式还是开源基金会,基金会给予开发者财务支持。
2021-12-15 08:51
推特乃何物
回复 @
{{emojiItem.symbol}}
返回顶部
顶部